Sur Mac, le voyant vert de confidentialité et les indicateurs de macOS signalent en temps réel l’usage de la webcam et du microphone. Problème : ces alertes n’ont d’intérêt que si quelqu’un est présent pour les voir.
Pour obtenir une trace a posteriori des activations matérielles, y compris quand la machine est laissée sans surveillance, l’outil gratuit et open source OverSight, développé par l’Objective-See Foundation, ajoute une couche de visibilité supplémentaire.
Pourquoi cet historique peut compter
Depuis 2008, Apple a conçu certains Mac de manière à ce que la webcam ne puisse pas être alimentée sans que le voyant vert ne s’allume simultanément, grâce à un câblage commun entre le module caméra et l’indicateur. Cette approche a réduit une catégorie d’attaques « furtives » visant à activer la caméra sans signal visible.
Elle ne règle toutefois pas un scénario simple : une activation pendant une absence, avec un voyant allumé… mais sans témoin. Des menaces macOS déjà observées, comme Fruitfly, Mokes ou Crisis, ont notamment été associées à des comportements de surveillance prolongée, avec déclenchement opportuniste lorsque l’utilisateur s’éloigne.
Ce que fait OverSight
- Notifications à chaque activation de la webcam ou du micro, afin de repérer immédiatement un usage inattendu.
- Journalisation des événements : au retour, un historique permet d’identifier les déclenchements survenus en l’absence de surveillance.
- Identification du processus à l’origine de l’accès matériel, pour distinguer un usage légitime d’un comportement anormal.
Détection des attaques par « piggybacking »
OverSight peut aussi alerter sur des scénarios dits de piggybacking, documentés publiquement, où un malware attend qu’une application légitime (visioconférence, appel FaceTime, etc.) active déjà la caméra, puis s’adosse au flux existant pour enregistrer discrètement. Dans ce cas, aucun nouveau déclenchement du voyant n’intervient, puisque la caméra est déjà active.
macOS ne différencie pas nécessairement, au niveau de l’indicateur, entre un accès unique et plusieurs processus exploitant la même ressource. OverSight, lui, signale l’apparition d’un processus supplémentaire accédant au flux.
OverSight est disponible au téléchargement via le site de l’Objective-See Foundation : objective-see.org.
